YORUM

etkisi hakkında çok fazla konuşma var. Siber güvenlik konusunda üretken yapay zeka (AI) – İyi ve kötü.

Bir tarafta, üretken yapay zekanın kötü aktörleri savuşturmaya yardımcı olma potansiyeline ikna olmuş savunucular var; diğer yandan, üretken yapay zekanın önümüzdeki yıllarda güvenlik olaylarının hacmini ve ciddiyetini önemli ölçüde artıracağından korkan şüphecileriniz var.

Üretken yapay zekanın ilk aşamalarındayız. Ancak potansiyelinin göz ardı edilmesi zor hale geldi.

Otomasyonu hızlandırıcı olarak değerini şimdiden kanıtlıyor; bu, ekibinin odağını sıkıcı günlük görevlerden daha stratejik projelere kaydırmak isteyen herhangi bir bilgi güvenliği şefi (CISO) için cazip bir teklif.

Aynı zamanda geleceğe dair de bir fikir ediniyoruz. Dünya çapındaki güvenlik ekipleri halihazırda büyük dil modelleri (LLM’ler) ile güç çarpanı olarak denemeler yapıyor:

  • Büyük hacimli verileri gizli saldırı kalıpları ve güvenlik açıkları açısından tarayın.

  • Kimlik avı saldırılarına yönelik testleri simüle edin.

  • Tehditleri belirlemek amacıyla modelleri eğitmek için sentetik veri kümeleri oluşturun.

Üretken yapay zekanın güvenlik açısından net bir olumlu etki yaratacağına inanıyorum, ancak büyük bir uyarı da var: Güvenlik ekiplerini tehlikeli derecede kayıtsız hale getirebilir.

Basitçe söylemek gerekirse yapay zekaya aşırı güvenmek, bir kuruluşun güvenlik operasyonlarında denetim eksikliğine yol açabilir ve bu da saldırı yüzeyinde kolaylıkla boşluklar yaratabilir.

Bak anne – El Yok!

Yapay zekanın yeterince akıllı hale gelmesi durumunda daha az insan gözetimine ihtiyaç duyacağına dair genel bir inanç var. Pratik anlamda bu, daha az manuel çalışmaya yol açacaktır. Teoride kulağa harika geliyor ama gerçekte bu kaygan bir zemin.

Yanlış pozitifler ve negatifler siber güvenlikte zaten büyük bir sorundur. Yapay zekaya daha fazla kontrol bırakmak işleri daha da kötüleştirir.

Özetlemek gerekirse, Yüksek Lisans’lar istatistiksel, zamansal metin analizi üzerine kuruludur ve bağlamı anlamazlar. Bu, iyice incelendiğinde bile tespit edilmesi çok zor olan halüsinasyonlara yol açar.

Örneğin, bir güvenlik uzmanı, aşağıdakilerle ilgili bir güvenlik açığını düzeltmek için Yüksek Lisans tabanlı rehberliği kullanıyorsa uzak masaüstü protokolü, bu tür sorunlar için gerçek en uygun yöntem yerine en yaygın düzeltme yöntemini önermesi muhtemeldir. Rehberlik %100 yanlış olabilir ancak yine de makul görünebilir.

LLM’nin güvenlik açığı veya düzeltme sürecinin ne anlama geldiği konusunda hiçbir bilgisi yok. Bu güvenlik açığı sınıfına yönelik tipik iyileştirme süreçlerinin istatistiksel analizine dayanır.

Doğruluk ve Tutarsızlık İkilemi

LLM’lerin Aşil topuğu, çıktılarının tutarsızlığı ve yanlışlığında yatmaktadır.

Mattel’in CISO’su Tom Le bunu çok iyi biliyor. Kendisi ve ekibi, savunmayı güçlendirmek için üretken yapay zeka uyguluyor ancak modellerin çoğunlukla “halüsinasyon gördüğünü” görüyor.

Le’ye göre“Üretken yapay zeka, çalışanların sonucu denetlemeden şirketlerin ona güvenebileceği bir ‘inanç sıçraması’ anına henüz ulaşmadı.”

Onun düşüncesi, üretken yapay zekanın insanın kayıtsızlığı nedeniyle bir tehdit oluşturduğu yönündeki düşüncemi güçlendiriyor.

Security Pro’yu Güvenlikten Çıkaramazsınız

Ölüme mahkum olanların düşündüğünün aksine üretken yapay zeka, en azından bizim yaşamımız boyunca insanların yerini almayacak. Sezgi, belirli güvenlik tehditlerini tespit etmede rakipsizdir.

Örneğin uygulama güvenliğinde, SQL enjeksiyonu ve diğer güvenlik açıkları, yalnızca insanlar uygulamada tersine mühendislik ve bulanıklaştırma yaptığında tespit edilebilen çok büyük siber riskler oluşturabilir.

Kod yazmak için insanları kullanmak aynı zamanda diğer insanların okuması, ayrıştırması ve anlaması çok daha kolay olan kodlarla sonuçlanır. Yapay zekanın otomatik olarak oluşturduğu kodda, güvenlik açıklarının tespit edilmesi çok daha zor olabilir çünkü uygulamanın koduna aşina hiçbir insan geliştirici yoktur. Yapay zeka tarafından oluşturulan kodu kullanan güvenlik ekiplerinin, yapay zekanın çıktısına aşina olmalarını sağlamak ve sorunları istismara dönüşmeden önce tespit etmek için daha fazla zaman harcaması gerekecek.

Hızlı kod için üretken yapay zekaya başvurmak, güvenlik ekiplerinin gardını düşürmesine neden olmamalı ve kodun güvenli olmasını sağlamak için daha fazla zaman harcamak anlamına gelebilir.

Yapay Zeka O Kadar Kötü Değil

Bugünkü hem olumlu hem de olumsuz duygulara rağmen, üretken yapay zeka yeteneklerimizi artırma potansiyeline sahip. Sadece akıllıca uygulanması gerekiyor.

Örneğin, üretken yapay zekanın aşağıdakilerle birlikte dağıtılması Bayesian makine öğrenimi (ML) modelleri siber güvenliği otomatikleştirmek için daha güvenli bir yöntem olabilir. Bu yöntem, çıktının eğitimini, değerlendirmesini ve ölçümünü kolaylaştırarak üretken yapay zekayı daha güvenli hale getirir. Üretken yapay zeka ve Bayesian ML modellerinin bu kombinasyonunun, hatalar meydana geldiğinde incelenmesi ve hata ayıklaması da daha kolaydır. Bu yöntem, verilerden yeni içgörüler oluşturmak veya üretken bir yapay zeka modelinin çıktısını doğrulamak için kullanılabilir.

Ne yazık ki siber profesyoneller de insandır ve insanlar mükemmel değildir. Yavaş olabiliriz, uzun iş günlerinden sonra bitkin olabiliriz ve hataya açık olabiliriz, ancak yapay zekanın sahip olmadığı bir şeye sahibiz: muhakeme ve nüans. Bağlamı anlama ve sentezleme yeteneğine sahibiz; makineler bunu yapmaz.

Güvenlik görevlerini hiçbir insan gözetimi ve muhakemesi olmaksızın tamamen üretken yapay zekaya devretmek, kısa vadede rahatlık ve uzun vadede güvenlik açıklarına neden olabilir.

Bunun yerine, güvenlik yeteneğinizi cerrahi olarak artırmak için üretken yapay zekayı kullanın. Deney. Sonuçta, önceden koyduğunuz iş, kuruluşunuzu daha sonra gereksiz baş ağrılarından kurtaracaktır.



siber-1